P2P金融安全之长江证券秒改任意用户密码漏洞

0x1：泄露大量用户的个人信息，手机号码。在网站找回密码功能知道用户名就能得到用户的手机号，直接上图：

----------------------------------------------------------------------------------------

0x2：第一种4位验证码爆破（感觉修改suid参数也是可以的）或

第二种response响应包秒改，以admin用户为例：

输入用户名admin：

输入任意4位数字：

点击下一步，修改response为：

{"data":{"msg":"0"}}

之后就进入了修改密码窗口，可修改为任意密码，这里修改为wooyun123

修改完成提示：

登陆证明：

再重置一些用户时会提示如下

修改response信息为“0”：

登录证明：

贴出部分手机号码：

mask 区域
*****543*****
 *****071*****
 *****925*****
 *****113*****
 *****282*****
 *****035*****
 *****033*****
 *****574*****
 *****289*****
 *****612*****
 *****974*****
 *****516*****
 *****168*****
 *****273*****
 *****145*****
 *****235*****
 *****179*****
 *****036*****
 *****484*****
 *****008*****
 *****957*****
 *****180*****
 *****966*****
 *****280*****
 *****445*****
 *****168*****
 *****266*****
 *****140*****
 *****385*****
 *****230*****
 

加强验证机制，增加验证码位数，禁止suid，mobile参数回显

厂商回应：

危害等级：高

漏洞Rank：15

确认时间：2016-04-21 11:09

厂商回复：

确认问题存在，已通知处理。

最新状态：

2016-06-03：漏洞已修复。

1. 2016-04-20 22:55 | Freebug ( 普通白帽子 | Rank:110 漏洞数:39 | 流氓是一种高尚的职业！)

   0

   66666，前排沙发

   1# 回复此人

2. 2016-05-11 13:13 | _Thorns ( 普通白帽子 | Rank:1754 漏洞数:269 | 以大多数人的努力程度之低，根本轮不到去拼...)

   0

   我不会说寝室一哥们的毕设是对长江证券进行安全评估，还要写出挖掘的漏洞，哥们也挺蛋疼的我就帮他看了看，先拉出一个晒晒。。。 这毕设有点6.

   2# 回复此人